为什么要在内部使用IPv6?

Modified on: Wed, 13 Nov 2019 02:40:01 +0800

当然,由于我们的地址不足,我意识到需要在开放的互联网上使用IPv6,但我真的不明白为什么需要在内部网络上使用它。我对IPv6做了零,所以我也想知道:现代防火墙不会在内部IPv4地址和外部IPv6地址之间进行NAT吗?

我只是想知道,因为我看到很多人在这里苦苦思索IPv6问题,并且想知道为什么要这么麻烦?

作者:KCotreau

最佳答案

IPv6没有NAT(无论如何你想到NAT)。 NAT是一个$ EXPLETIVE临时解决方案,用于IPv4耗尽地址(这个问题实际上并不存在,并且在NAT需要之前已经解决,但历史记录是20/20)。它除了复杂性之外什么也没有增加,除了引起IPv6的麻烦之外几乎没什么用(我们有这么多IPv6地址,我们毫不掩饰地浪费它们)。 NAT66确实存在,并且旨在减少每个主机使用的IPv6地址的数量(IPv6主机具有多个地址是正常的,IPv6在很多方面与IPv4有些不同,这是一个)。

互联网应该是端到端可路由的,这是IPv4发明的原因之一,也是为什么它被接受了。这并不是说互联网上的所有地址都应该可以访问。 NAT打破了两者。防火墙通过破坏可达性来增加安全层,但通常是以可路由性为代价。

您将需要在网络中使用IPv6,因为无法使用IPv4地址指定IPv6端点。另一种方法可行,这使得使用DNS64和NAT64的仅IPv6网络仍能访问IPv4 Internet。今天实际上可以将IPv4全部放弃,尽管设置它有点麻烦。可以从IPv4内部地址代理到IPv6服务器。添加和配置代理服务器会增加网络的配置,硬件和维护成本;通常不仅仅是简单地启用IPv6。

NAT也会导致它自身的问题。路由器必须能够协调通过它运行的每个连接,跟踪端点,端口,超时等。所有这些流量通常都是通过这一点流动的。尽管可以构建冗余NAT路由器,但该技术非常复杂并且通常很昂贵。冗余的简单路由器容易且便宜(相对而言)。此外,为了重新建立一些可路由性,必须在NAT系统上建立转发和转换规则。这仍然会破坏嵌入IP地址的协议,例如SIP。发明了UPNP,STUN和其他协议来帮助解决这个问题 - 更复杂,更多维护,更多可能出错


相关问答

添加新评论